Tout au long de l’année, les personnes qui utilisent Google Chrome ont pu croiser des titres dans la presse leur recommandant de mettre à jour sans tarder leur navigateur. Des alertes faisant suite à la découverte de vulnérabilités informatiques exploitées par des personnes s’en servant pour essayer de pirater les internautes.
Ces signalements ont été nombreux cette année pour Chrome, car on en dénombre pas moins de treize selon notre décompte des notifications propres à la version de PC du logiciel. C’est en moyenne plus d’une alerte par mois. Il apparaît aussi que les failles exploitées concernent en majorité V8, le moteur JavaScript de Chrome, qui sert à exécuter les instructions en langage JavaScript.
Ci-dessous, la liste des mises à jour poussées par Google pour corriger des failles dans Chrome, dont certaines s’avèrent exploitées à des fins malveillantes.
- Mise à jour du 4 février ;
- Mise à jour du 13 avril ;
- Mise à jour du 20 avril ;
- Mise à jour du 9 juin ;
- Mise à jour du 17 juin ;
- Mise à jour du 15 juillet ;
- Mise à jour du 13 septembre ;
- Mise à jour du 24 septembre ;
- Mise à jour du 30 septembre ;
- Mise à jour du 28 octobre ;
- Mise à jour du 13 décembre ;
La multiplication des patchs poussés hors des cycles habituels de mise à jour de Chrome peut donner l’impression que le navigateur web est une vraie passoire. Ce sentiment doit toutefois être nuancé : Chrome est de facto souvent pris pour cible parce qu’il est le navigateur le plus utilisé au monde. Parvenir à le pirater, c’est avoir la possibilité de nuire à des millions d’internautes.
Des problèmes récurrents dans le moteur JavaScript
Le moteur V8 est un composant sensible dans Google Chrome, compte tenu de son rôle pour traiter les scripts qui peuplent les sites. C’est même un composant clé pour le web, puisque le moteur V8 est un moteur open source qui est employé par d’autres navigateurs web : Microsoft Edge, Opera, Vivaldi et Brave, entre autres, car ils utilisent tous la même plateforme technologique que Chrome.
Dans le cas de la brèche exploitée liée au 13 décembre, Google précise que le souci est lié à une libération après utilisation (« use after free »). Cela survient quand il y a une utilisation incorrecte de la mémoire dynamique lors du fonctionnement d’un programme. L’erreur offre une opportunité de pirater le programme si cette mémoire n’est pas correctement nettoyée et vidée.
Le détail de cette vulnérabilité n’est pas rendu public aujourd’hui, car Google veut attendre que la nouvelle version de son navigateur web soit suffisamment répandue pour que les explications techniques autour du problème puissent être fournies sans risque. Mais pour les internautes, ce qui importe avant tout est de lancer dès que possible la mise à jour de Google.
Comment vérifier sa version de Google Chrome
Pour mettre à jour Chrome, si ce n’est pas déjà fait :
- Lancez le navigateur,
- Rendez-vous en haut à droite de l’écran, via les points de suspension verticaux
- Cliquez dessus, allez à la ligne « Aide », puis « À propos de Google Chrome ».
- Sur la nouvelle page, vous pourrez lire le numéro de la version installée sur votre ordinateur.
- Si vous êtes déjà à jour, le navigateur ne fera rien de particulier. Sinon, la mise à jour s’enclenchera.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !